Wie man das CC Attack Protection Modul im IIS aktiviert

Der sogenannte CC-Angriff ist ein häufiger Internetangriff, bei dem Hacker Proxy-Server nutzen, um eine große Anzahl getarnter IP-Adressen zu generieren und ständig auf eine bestimmte Website zuzugreifen, wodurch die CPU, gleichzeitige Verbindungen und andere Ressourcen der Website erschöpft sind, während andere normale Besucher nicht im Internet surfen können. Wie bei DDOS-Angriffen kommen CC-Angriffe von einer großen Anzahl gefälschter IP-Adressen, und die Form der Angriffe besteht darin, eine große Anzahl von Paketen an die Zielwebsite zu senden, sodass wir die IP-Adresse der Angriffsquelle nicht genau bestimmen können. Sofern die Angriffs-IP-Segmente der anderen Partei nicht nur wenige sind, sodass diese IP-Segmente direkt auf IIS blockiert werden können, haben IIS 6.0 und spätere Versionen die Funktion, einzelne IPs oder ein bestimmtes IP-Segment zu blockieren, aber IIS 6.0/7.0 kann eine große Anzahl unregelmäßiger IP-Adressen bis zum Erscheinen von IIS 8.0 nicht verarbeiten.

IIS 8.0 fügt dem IP Limitation-Modul drei neue Funktionen hinzu:

1. Dynamische IP-Beschränkungen können IP-Adressen automatisch blockieren, basierend auf der Anzahl gleichzeitiger Anfragen oder der Anzahl der Anfragen über einen bestimmten Zeitraum.

2. Traditionelle IP-Adressbeschränkungen geben einen 403.6-Fehler zurück (also verbotener Zustand), und die neue Version von IIS kann die Anfrage auch direkt abbrechen oder unbefugt oder nicht gefunden zurückgeben.

3. Unterstützung des Proxy-Modus, das heißt, er kann neben der Blockierung der IP direkter Angriffe auch die eigentlichen Drahtzieher hinter den von Proxy-Servern durchgeführten Angriffen blockieren.

Standardmäßig hat IIS 8.0 das Modul "IP and Domain Restrictions" nicht installiert, wir müssen es separat im "Server Manager" installieren.

Als Nächstes öffnen wir IIS, klicken auf die Website, die Sie festlegen möchten, und klicken dann auf das Modulsymbol "IP-Adresse und Domänenbeschränkungen", die Hauptoberfläche wird wie folgt angezeigt.

In der richtigen Operationsleiste gibt es vier Punkte, die wir wissen müssen.

1. Erlaubte Einträge hinzufügen, also die zugriffsberechtigten IP-Adressen hinzufügen. Wenn wir den Zugriff anderer Clienten auf "Deny" setzen, können nur diese IP-Adressen darauf zugreifen.

2. Fügen Sie eine Einreiseverweigerung hinzu, also die IP-Adresse, die den Zugriff verweigert. Wenn wir den Zugriff anderer Clienten auf "Erlauben" setzen, können nur diese IP-Adressen nicht genutzt werden.

3. Bearbeiten Sie die Funktionseinstellungen, in denen Sie die Zugriffsrechte anderer Clients (anonyme Nutzer), die Aktivierung des Proxy-Modus und die Art der Ablehnungsoperation festlegen können.

(1) Die Standardzugriffsrechte von nicht näher bezeichneten Clients sind erlaubt; wenn Sie möchten, dass diese Website nur von bestimmten Personen genutzt wird, müssen Sie sie hier auf "Ablehnen" anpassen und dann eine bestimmte IP-Adresse in "Erlaubter Eingang hinzufügen" hinzufügen.

(2) Aktivieren Sie Domainnamenbeschränkungen, das heißt, zusätzlich zu IP-Adressen können Sie auch Zugriff auf bestimmte Domainnamen festlegen. Es sollte beachtet werden, dass dieser Prozess eine bestimmte Menge an Systemressourcen verbraucht, um den Domainnamen in eine IP-Adresse umzuwandeln, daher sollten Sie diesen Punkt nur in einem speziellen Fall überprüfen.

(3) Aktiviert man den Proxy-Modus, erkennt IIS die x-forwarded-for-Informationen im Kopf der Seite, außer bei der IP-Adresse des Clients; wenn die beiden Informationen uneinheitlich sind, verwendet der Client in der Regel VPN oder andere Proxy-Tools zum Zugriff und verbirgt so seine wahre Identität. Wie bei Domainbeschränkungen verbraucht auch diese Funktion Systemressourcen.

(4) Es gibt vier Arten von Ablehnungsoperationen: der Standardvorgang ist verboten (gibt 403-Code zurück), und man kann auch andere Typen wählen, wie unbefugt (gibt 401 zurück), nicht gefunden (gibt 404 zurück) und abgebrochen (stoppt die HTTP-Verbindung).

4. Bearbeite die dynamischen Einschränkungseinstellungen

Das ist die einzigartige Waffe, um gegen CC-Angriffe zu schützen! Du kannst festlegen, ob du basierend auf der Anzahl der gleichzeitigen Anfragen limitieren willst, oder du begrenzst sie basierend auf der Anzahl der Anfragen über die Zeit. Wenn eine Website von CC angegriffen wird, können wir diese beiden Elemente direkt überprüfen, zunächst die vom IIS empfohlenen Zahlenparameter verwenden, den Schutzeffekt beobachten und dann weiter feinjustieren. Beachte, dass wenn du "Nur Logging-Modus" aktivieren, nur Logs geloggt werden, die gerade abgelehnt werden können, und nicht tatsächlich blockiert werden, was sich für Experimente und Debugging eignet.

Obwohl es immer noch keine perfekte Lösung zum Schutz vor CC-Angriffen gibt, kann man sagen, dass die dynamische IP-Adressbeschränkungsfunktion, die in IIS 8.0 hinzugefügt wurde, nahe am unteren Ende und sehr einfach zu bedienen ist. Um den besten Schutzeffekt zu erzielen, ohne den normalen Benutzerzugriff zu beeinträchtigen, müssen wir immer wieder mit den oben genannten Einstellungen experimentieren, um ein Gleichgewicht zwischen Angriffsschutz und normalem Surfen zu finden.